Tema: El router maldito

Hola chic@s, este post va sobre routers. A ver, os cuento, pongamos que estoy en una hipotética LAN:

Los hosts tienen como SO windows XP, excepto una especie de server que tiene Windows 2000 y como unos 30 puertos abiertos. Por último tenemos al router (192.168.0.1). El router tiene filtrados los puertos 21/tcp, 23/tcp, 80/tcp y otros cuantos udp, y abiertos 179/tcp y 161/udp.

Entonces se me ocurrió comprobar qué hosts estaban autorizados (el host 192.168.0.10 parecía el más protegido: no ofrecía ningún servicio y tenía todos los puertos filtrados, por lo que parecía probable que el router se administrara desde ahí) con una herramienta llamada IRS de la web de OXID IT, para luego establecer una sesión telnet con el router spoofeando la IP (mediante otra tool llamada Sterm, de la misma web). Hasta ahí la cosa suena bien, pero IRS me indicó que ninguna máquina de toda la LAN estaba autorizada. Mi pregunta es: de qué manera se puede administrar un router que tiene, al parecer, todo acceso filtrado?

P.D: Por cierto, conocen alguna alternativa por línea de comandos (tanto para windows como para linux) a los programas que he usado?

P.D: Por último, se me encendió la bombilla cuando leí un artículo de SET que hablaba del uso del protocolo SNMP para este tipo de casos (creo que era "Hacking Zyxel Prestige"). Alguien podría orientarme sobre este protocolo? (Algún RFC no estaría mal, aunque me vendría mejor algo más aplicado).

Gracias por adelantado

Si los puertos están filtrados lo seguro es que use algún tipo de firewall
interno y como dices que están en la LAN no creo que esto lo bloquee el router
y si dices que la ip 192.168.0.10 es el administrador del router el firewall solo admitirá el paso para las conexiones de esta IP.
has intentado escanear esta lan revisando quizás que otros equipo tengan conexión a este mismo 192.168.0.10
me explico , tratar de revisar equipos con menor seguridad para llegar hasta el administrador del router con contraseñas o algún tipo de información sensible...
Pd : El SNMP es el puerto de conexión a un router que siempre va a quedar encendido en LAN así desactiven el modo de conexión telnet o ftp o http espero tu respuesta y espero poder ayudarte

Es probable que lo filtre un firewall, pero como te digo, ya probé con IRS (esta herramienta básicamente lo que hace es lanzar un ataque de arp-spoofing y luego, supongo, mandará paquetes SYN con la IP del host spoofeado y esperará a ver la respuesta: si es SYN/ACK el host está autorizado; si recibe RST, el puerto no está abierto y si no recibe nada, el host spoofeado tampoco está autorizado) y ningún host de la LAN está autorizado. Algo nuevo es que está confirmado que el host que usa el administrador de red habitualmente es el 192.168.0.10, y su acceso parece muy dificil (menos mal, sino me iba a aburrir) XD

Mi situación es:

- Tengo acceso a uno de los hosts como Administrador
- Tengo un par (en realidad, 7) de claves de dominio (aunque la del administrador se me resiste)

En cuanto al SNMP, que es en lo que más confío, os agradecería (tanto a ti, cruz4d0r, como al resto de Dragonautas) que me explicarais como comunicarme con el router por SNMP (utilizando, por ejemplo, como en el artículo que mencioné antes, la herramienta Braa de Backtrack, o más fácil, las tools del paquete net-snmp, que están para windows ya).

IDEAS
-------
- Si conociera de algún bug en el IE (que no, que no es broma) sería fácil lanzar un DNS spoofing y redirigirle hacia una página para obtener acceso (o tal vez algo parecido pero con ActiveX, aunque no sé como va eso) XD

Muchas gracias por el interés

Bueno esta esta herramienta para conectarse por snmp Net-SNMP
Y Este es un pequeño tuturial para aprender a usarlo en linux Tuto
Mira esta parte me pareció interesante

snmpwalk.
Permite obtener información de las variables MIB que el agente snmp pudo capturar

-c Indica el nombre del usuario o contraseña de la regla del grupo.
-v Indica la versión del protocolo snmp.
Ejemplos:

ascariote:~# snmpwalk -c public -v 1 192.168.1.200
ascariote:~# snmpwalk -v 2c -c s0p0rt3LPT 192.168.1.200

es básica de usar la estoy probando, una pregunta has intentado hacer un ataque de brute force por SNMP ?
Respondiendo a tu idea el SET tiene muchísimas formas de vulnerar tanto como IE como firefox y Crhome... espero este pensando igual que tu

Bueno, aunque aún no he tenido tiempo de probar lo del SNMP, el otro día se me ocurrio que el router podía estar filtrando los puertos también por MAC (es menos complicado, y el administrador no parece muy avispado como para ponerse a manejar SNMP) XD Aún así, me parece una excusa perfecta para aprender un protocolo... interesante.

Gracias por la ayuda, os mantendré informados

Es en momentos como este en los que me doy cuenta de lo acertado del título del tema. Vayamos por partes.

Ayer tuve la oportunidad de comprobar si el filtrado a los servicios (telnet, ftp,...) se realizaba por MAC, o por IP y MAC conjuntamente. Utilicé para ello la MAC del host 192.168.0.10, mediante Etherchange v1.1 (http://www.ntsecurity.nu/downloads/etherchange.exe) y volví a comprobar con IRS... nada, todas "connection refused".

Pues nada, voy a probar con SNMP. Saco de mi pack de asalto XD las snmp-net-tools y otras (muchas) similares y todas responden lo mismo, "connection timeout". Vale, tal vez el administrador se ha dado cuenta del fallo y lo está filtrando. Saco mi Nmap (tengo que decir que es mi herramienta favorita por mucho) y tecleo: nmap -sU 192.168.0.1 -p 161 -vv

Starting Nmap 5.21 (http://nmap.org)
(bla, bla, bla,...)

PORT STATE SERVICE
161/udp open|filtered snmp

Mi pregunta es: de qué manera puedo (desde windows, aunque también me interesa saber hacerlo desde linux) utilizar una IP de la red con, en este caso, programas como snmp-net-tools? (preferentemente sin necesidad de interfaz gráfica) Y qué IP utilizar cuando NINGUNA parece estar autorizada?

P.D: Como tenía curiosidad, y hace tiempo que quería probar eso del sidehacking que parece que está de moda últimamente, desenfundé mi kit hamster-ferret y me conecté (en realidad fue más difícil que eso: para acceder desde fuera tuve que redirigir puertos, etc,... hasta que por fín pude conectarme al hamster-proxy) y lo que obtuve fue, mmm... decepcionante: muchas webs, unos cuantos hotmails,... (cosas que no me interesan salvo por la intrusión en sí misma) pero ninguna del dichoso 192.168.0.10. Entonces, pensé, es posible que el administrador sea tan paranoico como para filtrar hasta el tráfico ARP? Aún así, los paquetes ARP-reply sí que debían llegar al router y por lo menos las respuestas de Internet (con las cookies) debían pasar necesariamente por mí, no? Cómo puede ser, si sé (por diversos métodos) que el admin estaba navegando en esos momentos por Internet desde ese mismo ordenador, que hamster-ferret no fueran capaces de secuestrar sus sesiones? (Es que de hecho ni siquiera aparecía como navegando!)

Dios, esta red me tiene MUY confundido...

No doy crédito...

# Nmap 5.21 scan initiated as: nmap -sU -p 1-65500 -oA routerudp 192.168.0.1

Nmap scan report for 192.168.0.1
Host is up (0.00s latency).
Not shown: 65487 closed ports

PORT STATE SERVICE
9/udp open|filtered discard
67/udp open|filtered dhcps
68/udp open|filtered dhcpc
69/udp open|filtered tftp
123/udp open|filtered ntp
161/udp open snmp
1025/udp open|filtered blackjack
1026/udp open|filtered win-rpc
1027/udp open|filtered unknown
1028/udp open|filtered ms-lsa
1029/udp open|filtered unknown
1030/udp open|filtered iad1
3784/udp open|filtered unknown
MAC Address: 00:A0:26:4C:31:34 (Teldat)

# Nmap done at Thu Nov 25 12:03:14 2010 -- 1 IP address (1 host up) scanned in 16.73 seconds

Y aún así sigue sin funcionar

Dibujo.jpg